一、项目概述

 由于现有有线网络与无线网络物理隔断，导致对网络用户的流控、管控、审计缺少统一管控，造成网络安全隐患，对员工的审计不够，造成办公效率低；一些违反网络行为审计不够等。并且现有的无线覆盖范围有信号死角，造成有些方位无网络状况。且没有防火墙安全设备对于来自外网的安全风险

二、 需求分析

    随着Internet接入的普及和带宽的增加，一方面内网用户上网条件得到改善，另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现，在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。IDC的数据统计显示，员工30%-40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。互联网滥用，给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。

    内网用户随意使用互联网将主要导致五个问

（1）网速越来越慢（2）信息和机密外泄（3）网络违法行为（4）工作效率低下（5）安全隐患不断

    为获取外部信息和资源、及与第三方合作伙伴、投瓷方等保持联系和沟通，机构内部网络必然与互联网连通。IT管理者如何及时了解网络运行情况，并对网络整体状况作出基本的分析，发现可能存在的问题（如违规访问、资源滥用、泄密、ARP欺骗等），并进行快速的故障定位，这一切都是对机构内网安全管理的挑战，这些问题包括：

    IT管理者如何对网络效能和行为进行统计、分析、评估？

    IT管理者如何管控BT、PPLive等P2P行为，避免其严重占用带宽，同时如何为业务系统和关键用户保障带宽资源的分配，提升带宽利用率？

    IT管理者如何杜绝通过Email、MSN等途径潜在的泄密行为？

    IT管理者如何避免网络造谣、恶意言论和发贴等法律问题，并在发生问题时有据可查？

    IT管理者如何控制上班时间QQ聊天、无关网站浏览等非工作网络访问行为

    IT管理者如何防范用户“主动”下载含有病毒、木马、恶意软件的文件？

    因此，如何有效地提高工作效率，提升带宽资源使用效率、改善内网安全环境、杜绝泄密行为、避免法律风险，已经成为各行业信息化建设中的首要任务。当前内网网络和行为管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如访问控制、访问跟踪、流量限制、监控、审计等问题也日益凸现。越来越多的组织机构需要对内网用户上网行为进行管理以实现网络资源的合理利用。

三、解决方案

    根据现有网络现状与客户需求，网络结构作出更改；有线无线整合到同一个网络出口；新增华为USG6620防火墙设备作为出口网关，4条100M出口作负载，并且对于来自外网的安全风险和威肋提供一定的防御能力；

    因现有无线控制器最大管理AP数量96个，考虑到以后无线的扩容，无线控制器需更新，可使用信锐NAC 6300无线控制器+NAP 3600统一无线方案，无线控制器最大管理AP数为256个；新增96个NAP3600无线AP替换日AP扩大无线覆盖范围，核心交换机新增三层交换机S5720-32P-E1-AC；

    深信服AC-1900上网行为管理设备桥接在防火墙与核心交换机中，提供WIFI防共享、流量控制、上网行为管控、上网行为审计功能，对来自内网的肆意的互联网访问行为、带宽滥用、潜在的泄密、法律违规等行为进行有效地管控，同时内网员工的各种互联网访问行为也进行有效的监控和审计。无线控制器旁路在核心交换机旁，避免控制器成为网络出口的瓶颈。

拓扑规划：

整改后所有网络终端使用无线网络连接，台式电脑新加使用插拔无线网卡连接，彻底抛弃有线网络终端。无线网络建设3个SSID，分别为内部员工、办公电脑、外部人员；上网行为管理对内部员工网段使用本地账号密码认证、办公台式电脑使用IP-MAC绑定接入、外部人员使用开放式连接。

（四）方案价值

   1、管理网络带宽：多线路策略；P2P软件的控制；带宽统计和管理。

   2、避免法律风险：外发信息控制；保护版权资料；法律遵从和举证。

   3、提升工作效率：网页过滤策略；IM（即时通讯）聊天软件的管理；各种行为的管理；上网时间管理。

   4、保障内网安全：拦截不良网页；文件传输控制；修复内网安全短板；防DOS、防ARP欺骗。